前言
此次是逆向某国内知名健身软件kxxp(你懂的)还不知道软件名的可以看下面的代码,里面有
版本为:6.128.0
现在情况是抓包,请求头内有个sign。
sign = so方法(md5(请求参字符串))
—————————————————————————————————————
更新:
此文是边做边写的,所以前期设想跟我最后用的方案有些出入
简单静态分析
image.png
image.png
image.png
进去之后 按F5
右击入参变量类型
点下图这个,依次改为JNIEnv *a1, jclass a2, jstring a3,再右击空白地区,点Hide casts
image.png
现在就规整多了
image.png
其中getSignhashcode很明显是签名验证用的
image.png
方案选型
目前两种方案
1、使用xposed+sekiro,远程调用手机生成,(一直用这种,不想用了,想学点新的)
2、使用unidbg(Unicron封装,java语言编写),或者AndroidNativeEmu(Unicron封装,python语言编写)。直接在服务器上运行so文件。直接用Unicron应该也可以(还没用过不确定)。
相比较而言,第二种麻烦,所以我们就用第二种吧🌝。
但是这里有个签名验证(上一张图),直接用应该过不掉。所以我们让那个判断直接从!= 改成==就行了。
———————————更新———————————————
其实这里我之前理解有误,不需要改so。如果自己开发一个app调用这个so,可以改这个。后面用unidbg用原so就可以了。但是因为修改也是新知识就留着了
———————————更新完毕—————————————
修改so
image.png
image.png
image.png
看的有点懵没关系。先看后面。
这里需要另一个软件 --> 010Editor
mac下载链接https://www.52pojie.cn/thread-847145-1-1.html
↑ 这是个论坛链接,win的自己去论坛搜好了。
mac安装可能会有问题。
解决方法:
下载回来解压,然后拉到应用程序目录下,执行:sudo xattr -r -d com.apple.quarantine /Applications/010\ Editor.app ,就可以运行了,在10.15.6可以运行
打开后把so文件拖进去就行了。
怎么改,改成什么?
学习了这篇文章后
打开这个链接https://armconverter.com/?code=BEQ%200xFFFFFF
先BEQ
image.png
再BNE
image.png
看上上上张图,最左边,地址是3680。然后在010Editor找到就好。
image.png
保存之后。再用ida打开。
image.png
已经改好了。
使用AndroidNativeEmu调用
这个我用了一下,因为so使用了java的方法,我也不太清楚怎么补充这个环境,相关教程也是不多。
所以。。。。
使用unidbg调用
github:https://github.com/zhkl0228/unidbg
代码如下: 有详细注释
package com.keep.test;
import com.github.unidbg.*;
import com.github.unidbg.linux.android.AndroidARMEmulator;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.api.Signature;
import com.github.unidbg.linux.android.dvm.array.ArrayObject;
import com.github.unidbg.memory.Memory;
import net.dongliu.apk.parser.bean.CertificateMeta;
import javax.xml.bind.DatatypeConverter;
import java.io.File;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Date;
import java.util.List;
public class MainActivity extends AbstractJni {
public static void main(String[] args) {
MainActivity mainActivity = new MainActivity();
mainActivity.stringFromJNI();
}
private final AndroidEmulator emulator;
private final VM vm;
private DvmClass cNative;
private MainActivity() {
// 貌似查进程的时候用的 这个不写也没事 随便写的
emulator = new AndroidARMEmulator("com.gotokeep.keep");
Memory memory = emulator.getMemory();
// 设置 sdk版本 23
LibraryResolver resolver = new AndroidResolver(23);
memory.setLibraryResolver(resolver);
//创建DalvikVM,可以载入apk,也可以为null 如果加载的是apk 会自动读取apk文件里的签名加载进去 可以过掉签名验证
vm = emulator.createDalvikVM(new File("unidbg-android/src/test/resources/apk/keep.apk"));
// vm = emulator.createDalvikVM(null);
vm.setJni(this);
// 是否打印日志
vm.setVerbose(true);
// 载入要执行的 so 下面这行是上面不是apk的情况 直接指定so文件 当然即使指定了apk 也可以加载自己so
// DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/libcryp.so"), true);
// 如果加载的是apk, 使用apk中的so文件 这里光写so文件名就可以 不用写lib
DalvikModule dm = vm.loadLibrary("cryp", true);
// 我这个没有JNI_OnLoad方法 所以我这里就不调用这个了
// dm.callJNI_OnLoad(emulator);
// module = dm.getModule();
}
private void stringFromJNI() {
// Jni调用的类
cNative = vm.resolveClass("com/gotokeep/keep/common/utils/CrypLib");
long t = System.currentTimeMillis();
DvmObject<?> strRc = cNative.callStaticJniMethodObject(emulator,"getEncryptDeviceId(Ljava/lang/String;)Ljava/lang/String;",vm.addLocalObject(new StringObject(vm, "0eeff6dd425d56c286d00348c578c63d")));
System.out.println("call stringFromJNI rc = " + strRc.getValue());
// 打印计算的毫秒数
System.out.println(System.currentTimeMillis()-t);
}
@Override
public DvmObject<?> callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
System.out.println("call: " + signature);
switch (signature) {
case "com/gotokeep/keep/KApplication->getContext()Landroid/content/Context;":
return vm.resolveClass("android/content/Context").newObject(signature);
}
return super.callStaticObjectMethod(vm, dvmClass, signature, varArg);
}
@Override
public int callIntMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
System.out.println("call: " + signature);
switch (signature) {
case "android/content/pm/Signature->hashCode()I":
return 1580769512;
}
return super.callIntMethod(vm, dvmObject, signature, varArg);
}
}
其中还有两个方法callStaticObjectMethod和callIntMethod没写注释。
除了这个还有很多,只是我没用到。
写这个也很简单
如果不写的话,会报错:
image.png
image.png
python实现so算法
因为使用unidbg,随意想算就算了。
所以入参我写成32个00000000000000000000000000000000出来一个结果。
再用0000000000000000000000000000001出一个结果。
通过总结规律的写法
得出了
def get_int(a1):
if ord(a1) > 47 and ord(a1) <= 57 :
return ord(a1) - 48
if ord(a1) > 96 and ord(a1) <= 102 :
return ord(a1) - 87
if ord(a1) <= 64 or ord(a1) > 70 :
return 0
return ord(a1) - 55
def keep_so(s):
shard_list = [[], [], [], []]
index = 0
index_w = 0
for i in s:
shard_list[index_w].append((get_int(i)))
index += 1
if index % 8 == 0 and index != 0:
index_w += 1
sum_list = [0, 0, 0, 0, 0, 0, 0, 0]
for i in range(8):
for j in shard_list:
sum_list[i] += j[i]
tail_list = sum_list[5:]
carry = int((tail_list[2]+1)/16)
tail_list[2] = (tail_list[2]+1)%16
tail_list[1] = tail_list[1]+carry
middle_num = tail_list[0]*16+tail_list[1]
middle_num += 235
middle_num = hex(middle_num).replace("0x","")
middle_num = middle_num[-2:] if len(middle_num)>2 else middle_num
sum_list = sum_list[:5]
sum_list = [k+14 for k in sum_list]
for i in range(5):
sum_list[-i - 1] += int(sum_list[-i] / 16)
sum_list = [(k)%16 for k in sum_list]
return s+"".join([hex(k).replace("0x","") for k in sum_list])+middle_num+str(tail_list[2])
if __name__ == "__main__":
n="0eeff6dd425d56c286d00348c578c63d"
print(ord("a"))
print(keep_so(n))
print("----")
print(keep_so(n)=="0eeff6dd425d56c286d00348c578c63d8c8505d5")
网友评论